Ini pelajaran yg tadi siang ane dapet pas kuliah.
Sebagai seorang admin jaringan, terkadang kita harus sedikit “kejam” kepada user yang menyalahgunakan jaringan internet untuk hal yang tidak-tidak, seperti akses pornografi, menyebarkan virus, atau melanggar peraturan dengan tidak boleh mengganti IP address sendiri.
Dalam jaringan yang kukelola, setiap alamat IP sudah dialokasikan sedemikian rupa kepada setiap pengguna dan telah dicatat. Tapi kadang-kadang tetap aja ada yang iseng mengganti-ganti IP dengan seenaknya. Akibatnya ketika kita ngeblok suatu blok alamat IP atau sebuah IP, dan dia ngganti IP addressnya, otomatis blok tadi jadi tidak berlaku lagi.
Untuk itu, kita perlu ngeblok MAC addressnya. MAC address adalah alamat fisik dari setiap kartu jaringan yang terkoneksi, dan bersifat unik. Artinya tidak ada yang sama setiap kartu jaringan di seluruh dunia ini. Gimana caranya?
Kita gunakan iptables yang ada dalam setiap mesin Linux yang kita jadikan Router/Gateway. Perintahnya seperti ini nih:
iptables -I PREROUTING -t nat -j DROP -m mac --mac-source AA:BB:CC:DD:EE:FF -p tcp --dport 80
iptables -I PREROUTING -t nat -j DROP -m mac --mac-source AA:BB:CC:DD:EE:FF
Perintah yang pertama, kita pergunakan untuk membatasi akses klien untuk browsing di Internet, karena port default untuk browsing adalah 80. Sementara, perintah kedua lebih “kejam” lagi kita sama sekali melarang user tersebut untuk mengakses jaringan di luar (Internet). So, dengan demikian walaupun si pengguna gonta-ganti IP address seenaknya sendiri, mereka tetep bakal tidak bisa Internet-an lagi.
ps: buat para client, makanya jangan bikin admin marah dengan tindakan usilmu itu 
